Czy na pewno wiemy co to jest naruszenie i co z nim zrobić? Często spotykamy się z informacjami u klientów, że u nich do naruszeń nie dochodzi. Czy faktycznie? A może pracownicy nie wiedzą, co trzeba zgłaszać i komu.
Każde naruszenie danych osobowych należy zgłosić do osoby upoważnionej. Najczęściej do Inspektora Ochrony Danych. Celem powiadomienia IOD jest przeanalizowanie przyczyn wystąpienia naruszenia oraz analiza ewentualnych skutków. W przypadku gdy naruszenie będzie skutkowało naruszeniem praw i wolności osoby fizycznej, zgodnie z przepisami prawa, w ciągu 72 godzin takie naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych. Każde naruszenie trzeba przeanalizować i zaewidencjonować wewnętrznie, jednak nie każde należy zgłosić do Prezesa UODO.
Czym jest naruszenie ?
Naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
Tym samym z naruszeniem ochrony danych będziemy mieli do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania pracownika przetwarzającego dane, jak i wtedy, gdy pracownik ten doprowadzi do incydentu niechcący.
Najogólniej mówiąc naruszenia można podzielić na trzy grupy:
- naruszenie poufności, które polega na ujawnieniu lub udostępnieniu danych osobie nieuprawnionej;
- naruszenie integralności, które sprowadza się do zmiany treści danych osobowych, czyli ich modyfikowania, w sposób nieautoryzowany;
- naruszenie dostępności, które wiąże się z trwałą utratą dostępu do danych lub ich zniszczeniem.
Jak zdarzenia mogą być uznane za naruszenia?
- zgubienie lub kradzież nośnika lub urządzenia;
- zgubienie, kradzież lub pozostawienie w niezabezpieczonej lokalizacji dokumentacji papierowej, która zawiera dane osobowe;
- utratę przez operatora pocztowego korespondencji papierowej lub otwarcie jej przed zwróceniem nadawcy;
- nieuprawnione uzyskanie dostępu do informacji;
- nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń;
- pojawienie się złośliwego oprogramowania, które ingeruje w poufność, integralność i dostępność danych;
- uzyskanie poufnych informacji przez pozornie zaufaną osobę w oficjalnej komunikacji elektronicznej, tj. drogą e-mailową lub za pomocą komunikatora internetowego (phishing);
- nieprawidłową anonimizację danych osobowych w dokumencie;
- nieprawidłowe usunięcie lub zniszczenie danych osobowych z nośnika lub urządzenia elektronicznego przed jego zbyciem przez administratora;
- niezamierzoną publikację;
- wysłanie danych osobowych do niewłaściwego odbiorcy;
- ujawnienie danych niewłaściwej osoby;
- ustne ujawnienie danych osobowych;
- udostępnienie danych osobowych nieuprawnionym osobom w związku z wysyłaniem poczty elektronicznej;
- zagubienie lub kradzieży niezabezpieczonych (niezaszyfrowanych) urządzeń informatycznych z danymi osobowymi (smartfony, komputery przenośne);
- udostępnienie dokumentacji zawierającej dane osobowe osobie nieuprawnionej;
- zablokowanie dostępu do danych osobowych;
- wysyłka dokumentów na niewłaściwy adres korespondencyjny;
- niewłaściwa anonimizacja danych osobowych oraz niszczenie archiwalnej dokumentacji;
- w wyniku cyberataku na usługę nastąpił wyciek danych osobowych osób fizycznych;
- wiadomość e-mail w ramach marketingu bezpośredniego wysłano do odbiorców w polach „do:” lub „dw:”, tym samym umożliwiając każdemu odbiorcy wgląd w adresy e-mail innych odbiorców.
Autor: Krzysztof Juszczak, Dyrektor Projektu – Inspektor Ochrony Danych Osobowych
© Copyright by CompNet Sp. z o. o.